Embed Size (px)
Citation preview
1
DETEKSI ANOMALI TRAFIK JARINGAN DENGAN
MENGGUNAKAN METODE DECISION TREE
Eka Setya Wijaya, Abdul Syukur, Romi Satria Wahono.
Jurnal Thesis Pascasarjana Magister Teknik Informatika Udinus
ABSTRAK
Seiring dengan banyaknya orang membangun jaringan komputer yang terhubung ke internet, maka
semakin berpotensi terhadap ancaman cyber seperti network intrusion (penggangguan pada jaringan).
Yang termasuk tindakan intrusion dalam jaringan komputer adalah tindakan yang mencoba
membypass mekanisme keamanan sistem jaringan komputer. Salah satu usaha untuk mendeteksi
intrusion dalam jaringan adalah dengan membedakan aktivitas trafik jaringan. Untuk membedakan
aktivitas trafik jaringan yang normal dengan yang tidak normal itu sulit dan membosankan. Seorang
analis jaringan harus memeriksa seluruh data yang besar dan luas untuk menemukan urutan yang
anomali (ganjil) pada koneksi jaringan.
Decision tree dapat digunakan untuk mengelompokkan peristiwa pada jaringan berdasarkan atribut.
Setiap peristiwa pada jaringan akan diturunkan ke dalam bagian yang unik oleh decision tree. Urutan
peristiwa pada jaringan akan dipetakan pada urutan keterhubungan bagian. Dengan membangaun
rules berdasarkan urutan bagian menghasilkan tanda intrusion yang dapat mendeteksi segala usaha
untuk melakukan intrusion.
Kata kunci : intrusion, anomali, trafik jaringan, decision tree.
2
1. LATAR BELAKANG
Keamanan pada sistem jaringan komputer bisa diartikan sebagai usaha untuk melakukan perlindungan
data dan sumber daya dari yang tidak berhak mengakses,.dari perusakan dan dari kegagalan
pemakaian. Jaringan komputer adalah aset berharga yang harus dijaga sekuritinya, baik fisik maupun
non-fisik [1].
Salah satu tantangan utama dalam pengelolaan keamanan jaringan adalah rawan terhadap serangan
atau tindakan perusakan sistem. Jumlah serangan yang disebabkan oleh kerentanan (vulnerabilities)
sebuah sistem melalui jaringan sangat meningkat [2]
Gambar 1 Grafik tend & resiko kerentanan sistem dari IBM X-Force 2010 [2]
Menurut Laporan Keamanan Tahunan Cisco pada 2007 [4], kategori kerentanan / kerawanan dan
ancaman pada jaringan komputer dapat dikategorikan menjadi beberapa jenis seperti yang
ditunjukkan pada gambar berikut.
Gambar 2: Top 20 threats and vulnerabilities, January - October 2007
Buffer overflow adalah ancaman nomor satu dan merupakan celah keamanan dari Januari sampai
Oktober 2007 diikuti oleh Denial-of-Service (DOS). Dalam kasus Cisco, masalah buffer overflow
3
biasanya berhubungan dengan Sistem Operasi Internetwork nya (IOS). IOS adalah sebuah sistem
operasi yang multitask, tertanam dan digunakan di router dan produk switch.
Tabel 1 Shifts in threats and vulnerabilities reported
Ada beberapa teknik yang biasa digunakan untuk mengamankan sistem jaringan komputer
diantaranya adalah firewall, encryption/penyandian pesan yang dikirim dan Virtual Privat Network.
Tapi dengan berkembangnya pemahaman bagaimana sistem bekerja, kemampuan intruder juga
berkembang dalam mencari kelemahan sistem untuk dimanfaatkan. Intruder kadang menggunakan
pattern yang sulit untuk dilacak dan diidentifikasi. Mereka sering menggunakan beberapa tahapan
sebelum memecah sistem keamanan target. Sehingga perlu satu lagi tambahan keamanan yang bisa
mengidentifikasi intruder dan serangannya yaitu deteksi anomali pada trafik jaringan komputer.
Network Interusion Detection(NID) merupakan permasalahan yang sulit apalagi bila dilakukan secara
manual dan hingga sekarang masih dicari solusi yang praktis, efektif dan efisien [5].
2. RUMUSAN MASALAH
Berdasarkan latar belakang yang ada maka dapat dirumuskan permasalahan sebagai berikut:
Deteksi anomali trafik untuk antisipasi gangguan keamanan pada jaringan komputer secara manual
adalah suatu hal yang sulit karena pola trafik yang terjadi di jaringan selalu berubah-ubah.
3. TUJUAN PENELITIAN
Berdasarkan latar belakang dan rumusan masalah diatas, maka penelitian ini bertujuan untuk
menguji metode Decision Tree untuk pendeteksian anomali pada trafik jaringan.
4. MANFAAT PENELITIAN
Manfaat yang diharapkan dari hasil penelitian ini adalah sebagai berikut:
a) Manfaat Praktis
Hasil penelitian ini diharapkan dapat digunakan sebagai masukan sehingga terwujudnya suatu
bentuk sistem deteksi anomali trafik jaringan dengan menggunakan metode Decision Tree.
b) Manfaat Teoritis
Hasil penelitian ini diharapkan dapat memberikan sumbangan untuk pengembangan teori yang
berkaitan dengan sistem deteksi anomali trafik jaringan dengan menggunakan metode Decision
Tree.
4
c) Manfaat Kebijakan
Hasil penelitian ini diharapkan dapat memberikan masukan sumbangan pada para administrator
jaringan dalam mengambil keputusan untuk solusi permasalahan yang bisa mengganggu sistem
jaringan komputer.
5. LANDASAN TEORI
a) Sistem Deteksi Intrusi
Intrusion adalah usaha untuk mem-baypass sistem komputer [10]. IDS mengumpulkan dan
memonitor sistem operasi dan aktivitas data pada jaringan, juga menganalisis informasi untuk
menjelaskan keadaan selama terjadinya penyerangan. IDS diklasifikasikan dalam 2 kategori
berdasarkan bagaimana data dianalisis.
a. Misuse detection
Sistem mempelajari pola penyerangan yang ada dan sudah dikenal. Pola ini dipelajari dengan
memeriksa seluruh data yang datang untuk menemukan tipe intrusion. Metoda ini tidak mampu
mendeteksi serangan baru yang polanya belum diketahui.
b. Anomaly detection
Pola dipelajari dari data normal. Data yang tidak terlihat dicek dan dicari penyimpangan dari pola
yang telah dipelajari. Metoda ini tidak mampu mengidentifikasi tipe serangan.
Gambar 3 Gambaran mengenai kegiatan anomali dan normal
Berdasarkan waktu kapan audit data dianalisis terdapat 2 kemungkinan:
1. on line IDS
On lineIDS dapat menangkap usaha penyerangan sebelum status sistem disepakati, tetapi On line
IDS harus dijalankan bersamaan dengan sistem aplikasi lain yang akan berpengaruh buruk
terhadap throughtput.
2. off line IDS
Off line IDS hanya dapat mendeteksi serangan setalah terjadi penyerangan. Algoritma Data
Mining diterapkan untuk menganalisis log data off line mode, sehingga anomali dapat ditelusuri,
dapat dianalisis oleh orang yang ahli, dan kemudian pola untuk menelusuri serangan yang baru
dapat dihitung, dan dapat diinstallkan ke dalam On line / real time IDS.
b) Serangan Dan Gangguan Pada Trafik Jaringan
Simulasi serangan diklasifikasikan berdasarkan pada tindakan dan tujuan dari penyerang. Setiap tipe
serangan masuk dalam salah satu dari empat kategori utama [8]:
1. Serangan Denial of Service (DoS)
5
Serangan DoS memiliki tujuan untuk membatasi atau menolak layanan provider kepada user,
komputer atau jaringan. Taktik umumnya adalah mengoverload sistem target (contoh: apache,
smurf, Neptune, Ping of Death, back, mailbomb, dan lain-lain)
2. Serangan Probing atau Surveillance
Serangan Probing / Surveilance memiliki tujuan untuk mengumpulkan informasi dari sistem
komputer atau sistem jaringan. Port Scan atau Sweeping dari alamat IP biasanya masuk dalam
kategori ini. (contoh: saint, portsweep, mscan, nmap, dan lain-lain)
3. Serangan User-to-Root (U2R)
Serangan User-to-Root memiliki tujuan untuk mendapatkan akses root atau super-User dalam
komputer atau sistem tertentu di mana penyerang sebelumnya memiliki user akses. Ini adalah
upaya oleh non-privileges user untuk mendapatkan administrative privileges. (contoh: Perl,
xterm, dan lain-lain)
4. Serangan remote-to-Local (R2L)
Serangan remote-to-Local adalah serangan di mana di dalamnya user mengirim paket kepada
komputer melalui internet, di mana user tidak memiliki akses yang bertujuan untuk mengekspos
kerentanan komputer dan mengeksploitasi privileges yang mana user local miliki di dalam
komputer. (contoh: xclock, dictionary, guest_password, phf, sendmail, xsnoop, dan lain-lain)
c) Classification
Classification adalah proses untuk menemukan model atau fungsi yang menjelaskan atau
membedakan konsep atau kelas data, dengan tujuan untuk dapat memperkirakan kelas dari suatu
objek yang labelnya tidak diketahui. Model itu sendiri bisa berupa aturan “jika-maka”, berupa
decision tree, formula matematis atau neural network. Decision tree adalah salah satu metode
classification yang paling populer karena mudah untuk diinterpretasi oleh manusia. Disini setiap
percabangan menyatakan kondisi yang harus dipenuhi dan tiap ujung pohon menyatakan kelas data.
Contoh di Gambar 2.2 adalah identifikasi pembeli komputer, dari decision tree tersebut. diketahui
bahwa salah satu kelompok yang potensial membeli komputer adalah orang yang berusia di bawah 30
tahun dan juga pelajar.
Gambar 4. Contoh Decision Tree
6
Algoritma decision tree yang paling terkenal adalah C4.5, tetapi akhir-akhir ini telah dikembangkan
algoritma yang mampu menangani data skala besar yang tidak dapat ditampung di main memory
seperti RainForest [13]. Metode-metode classification yang lain adalah Bayesian, neural network,
genetic algorithm, fuzzy, case-based reasoning, dan k-nearest neighbor. Proses classification
biasanya dibagi menjadi dua tahap : learning dan test. Pada tahap learning, sebagian data yang telah
diketahui kelas datanya diumpankan untuk membentuk model perkiraan. Kemudian pada tahap test
model yang sudah terbentuk diuji dengan sebagian data lainnya untuk mengetahui akurasi dari model
tersebut. Bila akurasinya mencukupi model ini dapat dipakai untuk prediksi kelas data yang belum
diketahui.
d) Menerapkan Data Mining Untuk Sistem Deteksi Interusi
Teknik data mining dapat diterapkan pada network based IDS untuk melindungi military subnetwork.
Setiap military subnetwork adalah suatu pemeriksaan yang menyaring dan membukukan traffic
network ke dalam database pusat. Sebuah rule set digunakan untuk menganalisis archived data untuk
menemukan pola intrusive. Pola yang ditemukan terlihat sederhana, seperti melihat aktivitas yang
berlebihan seperti koneksi dari IP address yang mempunyai kebiasaan intrusive. Contoh dari tipe
intrusion seperti ini adalah serangan yang rendah dan lama yang berisi kebiasaan intrusive selama
berjam-jam, berhari-hari atau berminggu-minggu yang dimulai dari berbagai jaringan. Data mining
dapat diterapkan pada masalah ini untuk mengembangkan human pattern recognition.
Contoh traffic network pada suatu jaringan sebagai berikut:
Tabel 2. Traffic network [10]
7
Gambar 5. Decision tree traffic network untuk IDS
Gambar 6. Pruning Decision Tree Traffic Network untuk IDS
Algoritma Decision Tree juga dapat mengklasifikasikan kemungkinan intrusion dengan data baru.
Sebagai contoh diberikan data baru traffic network dengan ciri-ciri sebagai berikut :
Tabel 3. Data baru traffic network tanpa label kelas
Berdasarkan hasil pelatihan set pada data traffic network maka data baru tersebut
Menjadi
Tabel 4. Data baru traffic network dengan hasil label kelas
8
5. Kerangka Pemikiran
Secara umum metode penelitian yang telah dilaksanakan mengacu pada kerangka pemikiran seperti
pada berikut:
Gambar 7. Skema Kerangka Konsep
6. Metode Penelitian
Secara umum penelitian ini menggunakan metode penelitian eksperimen, yaitu melakukan
pengujian tingkat akurasi algoritma Decesion Tree dalam analisa trafik pada jaringan.
Pengujian algoritma dilakukan dengan menggunakan data dari KDD Cup 1999 yang marupakan data
trafik jaringan hasil monitor trafik dari perangkat lunak IDS Snort yang diolah dan diklasifikasikan
menjadi beberapa jenis intrusi yang didefinisikan dalam label class seperti normal, .back, neptune,
imap, pod, satan, smurf, dan beberapa serangan yang lain, sehingga total jenis intrusi sebanyak 23
macam.
Tabel 5. Variasi Serangan dan Gangguan Pada Dataset KDD Cup 1999
No
Nama Label
Serangan Jumlah Serangan
1 Back 2,203
2 buffer_overflow 30
3 ftp_write 8
4 guess_passwd 53
Masalah
Deteksi anomali trafik pada jaringan secara manual adalah suatu
hal yang sulit karena pola trafik yang selalu berubah-ubah
Pendekatan Komputasi
Tools
Perangkat Lunak Rapidminer
Melakukan studi keakuratan untuk deteksi anomali trafik pada
jaringan dengan metode Decision Tree
Hasil
Pengujian dan Analisis
Uji dan Analisis komparasi hasil deteksi algoritma decision tree
dengan data empiris trafik lalulintas jaringan
Decision Tree terbukti akurat untuk deteksi anomaly trafik
jaringan
9
5 imap 12
6 ipsweep 12,481
7 land 21
8 loadmodule 9
9 multihop 7
10 neptune 1,072,017
11 nmap 2316
12 normal 972,780
13 perl 3
14 phf 4
15 pod 264
16 portsweep 10,413
17 rootkit 10
18 satan 15,892
19 smurf 2,807,886
20 spy 2
21 teardrop 979
22 warezclient 1020
23 warezmaster 20
Dataset dari KDD Cup 1999 memiliki 41 fitur/atribut yang akan diujikan dan masing-masing
memiliki nilai serta fungsi yang dapat mempengaruhi keadaan trafik pada saat melewati jaringan.
Tabel 6.. Beberapa atribut yang sangat mempengaruhi deteksi anomali pada trafik jaringan
No Variabel Keterangan
1 Duration Lama waktu koneksi (nilainya dari 0 sampai tak terhingga)
2 protocol_type Tipe protokol, yaitu: ICMP / TCP / UDP
3 Service Layanan jaringan yang digunakan, misalnya: HTTP, Telnet, FTP, IMAP, dsb
4 src_bytes
Jumlah byte data yang dikirimkan dari sumber ke tujuan (nilainya 0 s/d tak
terhingga)
5 dst_bytes
Jumlah byte data yang dikirimkan dari tujuan ke sumber (nilainya 0 s/d tak
terhingga)
6 Hot Besarnya indikator "hot" (nilai rangenya 0 s/d 30)
7 logged_in Keberhasilan user melakukan login (1 jika berhasil login, 0 jika tidak)
8 num_root Jumlah akses root (nilainya berupa angka dari 0 s/d 6)
9 Count Jumlah koneksi ke host yang sama di dua detik terakhir (nilainya 0 s/d 511)
10 dst_host_count menghitung untuk host tujuan (nilainya 0 s/d 255)
11 dst_host_diff_srv_rate tingkat layanan yang berbeda untuk host tujuan (nilainya 0, 0.01, 0.02, … , 1)
Untuk data training akan digunakan data sebanyak 65.000 record data dari seluruh dataset KDD Cup
‘99. Sedangkan untuk data sampel diaambil secara acak sekitar 15% data record dari perwakilan
masing-masing jenis interusi yang berjumlah 23 variasi, sehingga didapatkan data sebagai berikut:
10
Tabel 7. Tabel perbadingan data training dan data sampel yang digunakan berdasarkan variasi
serangan
No Nama Label Serangan Jumlah Serangan
Data Training Data Sample
1 Back 25 4
2 buffer_overflow 1 1
3 ftp_write 1 1
4 guess_passwd 1 1
5 Imap 1 1
6 Ipsweep 160 24
7 Land 1 1
8 Loadmodule 1 1
9 Multihop 1 1
10 Neptune 14200 2130
11 Nmap 31 5
12 Normal 12900 1930
13 Perl 1 1
14 Phf 1 1
15 Pod 4 1
16 Portsweep 130 20
17 Rootkit 1 1
18 Satan 211 30
19 Smurf 37300 5590
20 Spy 1 1
21 Teardrop 13 2
22 Warezclient 14 2
23 Warezmaster 1 1
Jumlah : 65.000 9.750
Namun pada penelitian ini, class yang akan digunakan hanya terdiri dari 2 jenis yaitu “normal” dan
“anomali”. Class anomali merupakan gabungan dari semua class yang berlabel serangan, sehingga
data yang digunakan menjadi sebagai berikut:
Tabel 8. Tabel perbandingan data training dan data sampel yang digunakan setelah dilakukan
penyederhanaan class
No Status Trafik Jumlah Serangan
Data Training Data Sample
1 Anomali 52,100 7,820
2 Normal 12,900 1,930
Jumlah : 65,000 9,750
11
Penerapan Decision Tree Untuk Deteksi Anomali Trafik Jaringan
Berikut penggambaran prosedur utama dari algoritma decision tree untuk pemecahan masalah deteksi
anomali trafik pada jaringan dengan menggunakan data training yang telah disiapkan sebelumnya.
Input : dataset D
Output: decision tree T
Procedure:
1. Inisialisasi semua bobot di D, Wi = 1/n, dimana n adalah total jumlah dari contoh.
2. Hitung probabilitas P (Cj) untuk setiap kelas Cj
3. Hitung probabilitas kondisional P (Aij | Cj) untuk setiap nilai atribut dalam D.
4. Hitung probabilitas posterior untuk setiap contoh di D.
5. Update bobot contoh dalam D dengan maksimum Kemungkinan (ML) probabilitas posterior
P(Cj|ei); Wi= PML(Cj|ei).
6. Cari atribut untuk melakukan splitting dengan informasi tertinggi dari gain menggunakan update
bobot, Wi di dalam D.
7. T = membuat node root dan label dengan atribut untuk splitting.
8. Untuk setiap cabang dari T, D = data yang dibuat dari penerapan splitting ke D, dan kembali ke
langkah 1 sampai dengan 7 hingga akhirnya setiap bagian atau simpul daun yang dibuat memiliki
class yang sama
9. Ketika bentuk pohon keputusan selasai, maka algoritma berakhir.
Dengan menggunakan perhitungan dari tools aplikasi Rapidminer didapatkan hasil pohon keputusan
yang terbentuk sebagai berikut:
Gambar 8. Decision Tree / Pohon Keputusan yang terbentuk dari perhitungan menggunakan tools
Rapidminer
12
8. HASIL EKSPERIMEN DAN PENGUJIAN
Berdasarkan pengujian yang dilakukan diketahui dari 9750 record data sampel, terdapat 14 record
yang salah di prediksi. Hal ini menunjukan tingkat akurasi dari algoritma decision tree sebesar
99,86%.
Gambar 9. Hasil Uji akurasi
Gambar10. Hasil Uji Presisi
Gambar11. Hasil Uji Recall
Berdasarkan hasil perhitungan yang dilakukan dengan menggunakan software Rapidminer, maka
didapatkan semua hasil uji coba dengan tingkat akurasi prediksi di atas 99%. Hal ini menunjukan
algoritma decision tree sangat baik untuk diterapkan deteksi anomali pada trafik jaringan.
8. KESIMPULAN DAN SARAN
Kesimpulan
Hasil pengujian algoritma Decision Tree dalam pendeteksian anomali trafik jaringan dengan
menggunakan data yang diambil dari data set KDD Cup 1999, menunjukkan bahwa Algoritma
Decision Tree memiliki tingkat akurasi diatas 99%, sehingga dapat digunakan sebagai solusi untuk
pemecahan masalah deteksi anomali trafik pada jaringan.
Saran
Penggunaan algoritma decision tree pada penelitian ini dapat dilanjutkan dengan tahapan
pengembangan algoritma ataupun dengan pembuatan tools / aplikasi yang berjalan secara On line /
realtime untuk memantau trafik jaringan yang bisa memberikan alert kepada user sehingga dapat
digunakan dalam deteksi interusi oleh administrator jaringan.
13
REFERENSI
[1] James P. Anderson, (1980), Computer Security Threat Monitoring And Surveillance, Box 42
Fort Washington, Pa
[2] http://www-58.ibm.com/software/data/cognos/manyeyes/visualizations/vulerabilities-per-
year
[3] http://www.ironpaper.com/coffeetalk/wordpresssecurity.php
[4] http://www.tenouk.com/Bufferoverflowc/bufferoverflowvulexploitdemo2.html
[5] Theodoros, L., Konstantinos P. (2005), Data Mining Techniques for (Network) Intrusion
[6] Detection Systems. Department of Computer Science and Engineering UC Riverside,
Riverside CA 92521.
[7] Ahmad. I., Abdullah A.B., Alghamdi A.S., (2010), Comparative Analysis of Intrusion
Detection Approaches, International Conference on Computer Modelling and Simulation.
[8] O. Siriporn, and S. Benjawan, (2008), Anomaly Detection and Characterization to Classify
Traffic Anomalies Case study: TOT Public Company Limited Network, World Academy of
Science, Engineering and Technology
[9] Zililia L., (2007), PENERAPAN Data Mining Untuk IDS, Tugas Akhir Program Studi
Teknik Elektro InstitutTeknologi Bandung.
[10] Sinclair, C., Pierce, L., Matzner, S. (2000), An Application of Machine Learning to Network
Intrusion Detection, Applied Research Laboratory Technical Report No.859 dan 875, Applied
Research Laboratory, The University of Texas at Austin.
[11] Seiner R. 1999 . Digging Up $$$ with Data Mining – An Executive’s Guide. The Data
Administration Newsletter.
[12] Moxon B, 1996. Defining Data Mining. DBMS Online.
[13] G. Meera Gandhi dan S.K. Srivatsa. 2010. Adaptive Machine Learning Algorithm (AMLA)
Using J48 Classifier for an NIDS Environment. Advances in Computational Sciences and
Technology.ISSN 0973-6107 Volume 3 Number 3 : hal. 291–304.
[14] Ester M. et. al.1996 A density based algorithm for discovering clusters in large spatial
databases .Int. Conf. Knowledge Discovery and Data Mining
[15] Han, J., Kamber, M. (2001), Data Mining: Concepts and Techniques, Morgan Kaufman.
[16] Witten, I. dan Eibe Frank. 2005. Data mining: Practical machine learning tools and
Techniques.
[17] Karypis G., E.-H. Han and V. Kumar. (1997) .CHAMELEON:A hierarchical clustering
algorithm using dynamic modeling.
[18] Nani Yasmin1, Anto Satriyo Nugroho2, Harya Widiputra, (2009). Optimized Sampling with
Clustering Approach for Large Intrusion Detection Data, Faculty of Information Technology,
Swiss German University.
[19] Dunham, H. Margareth (2002), Data Mining: Introductory and Advanced, Prentice Hall.
[20] Agrawal R.and Srikant R. 1994. Fast Algorithm for Mining Association Rules. Proceedings
of the Intemational Conference on Very Large Data Bases.
14
[21] Fayyad, U., Piatetsky-Shapiro, G. dan Smyth, P. (1996), From Data Mining to Knowledge
Discovery in Databases, AAAI and The MIT Pres, 37-53.
[22] Kohavi, R., Quinlan (1999), Decision Tree Discovery, AAAI and The MIT Pres, 1-16.
[23] Weenke, L at. All (2001), Real Time Data Mining based- Intrusion Detection, Proceeding
DARPA.
[24] Tan P. N., Steinbach, M., Kumar, V. (2006), Introduction to Data Mining, Addison Wesley.
